Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

SRX 시리즈 방화벽을 위한 Secure Edge Connector 설정

주니퍼® Secure Edge는 웹, SaaS 및 온프레미스 애플리케이션에 대한 액세스를 보호하기 위해 풀스택 SSE(Secure Services Edge) 기능을 제공합니다. 이러한 기능은 또한 일관된 위협 방어, 최적화된 네트워크 경험, 사용자 위치에 따라 적용되는 보안 정책을 제공합니다. Secure Edge는 고급 클라우드 기반 보안 스캐너 역할을 합니다. 이를 통해 조직은 데이터를 보호하고 사용자가 사무실, 캠퍼스 또는 이동 중이든 관계없이 사용자에게 일관되고 안전한 네트워크 액세스를 제공할 수 있습니다.

Mist는 Juniper Secure Edge 클라우드 서비스와 보안 터널을 구축할 수 있는 Secure Edge Connector(SEC)를 제공하여 Juniper Secure Edge와 연동됩니다.

그림 1: Secure Edge Secure Edge

Secure Edge 기능은 모두 주니퍼 Security Director Cloud를 통해 관리됩니다. 주니퍼는 이를 단일 사용자 인터페이스(UI)에서 간단하고 원활하게 관리할 수 있습니다.

그림 2: 주니퍼 Secure Edge Traffic Inspection by Juniper Secure Edge 를 통한 트래픽 검사

자세한 내용은 주니퍼 Secure Edge를 참조하십시오.

Secure Edge 커넥터 개요

Juniper Mist™ 클라우드는 Juniper® Secure Edge와 연동되어 Secure Edge 커넥터 기능을 사용해 에지 디바이스에서 발생하는 트래픽을 검사합니다. 이 기능을 사용하면 WAN 에지 디바이스로 구축된 주니퍼 네트웍스® SRX 시리즈 방화벽이 검사를 위해 트래픽의 일부를 주니퍼 보안 에지로 보낼 수 있습니다.

이 작업에서는 트래픽이 인터넷에 도달하기 전에 검사를 위해 스포크 또는 허브 디바이스의 LAN 측에서 Secure Edge로 인터넷 바인딩 트래픽을 보냅니다.

Secure Edge로 트래픽 검사를 수행하려면 다음을 수행합니다.

  • Security Director Cloud에서 Secure Edge에 대한 서비스 위치, IPsec 프로필, 사이트 및 정책을 생성하고 구성합니다. WAN 에지 디바이스에 보안 서비스 및 연결을 제공하는 클라우드 기반 리소스입니다.

  • Mist Cloud에서 LAN 네트워크에 연결하는 WAN 에지 디바이스(예: SRX 시리즈 방화벽)를 생성하고 구성합니다. 브랜치 또는 캠퍼스에 라우팅, 스위칭 및 SD-WAN 기능을 제공하는 디바이스입니다.

  • Mist WAN 에지에서 WAN 에지 디바이스를 서비스 위치에 연결하는 Secure Edge 터널을 생성하고 구성합니다. Secure Edge에서 검사해야 하는 트래픽에 대해 안전하고 신뢰할 수 있는 전송을 제공하는 IPsec 터널입니다.

  • Mist Cloud에서 WAN Edge 디바이스에 해당하는 사이트 또는 디바이스 프로파일에 Secure Edge 터널을 할당합니다. 이를 통해 정의된 데이터, 정책 및 기타 일치 기준에 따라 LAN 네트워크에서 Secure Edge 클라우드로의 트래픽 스티어링이 가능합니다.

다음 표의 항목에서는 Secure Edge의 클라우드 기반 보안을 Juniper Mist™ Cloud와 함께 사용하는 데 필요한 개요 정보를 제공합니다.

표 1: Secure Edge 커넥터 구성 워크플로
걸음 과업 묘사
1 주니퍼 Security Director Cloud 액세스 및 활성 구독 확인 Juniper Security Director Cloud에 액세스하고 조직 계정으로 이동하여 Secure Edge 구독을 확인합니다. 구독을 통해 배포를 위해 Secure Edge 서비스를 구성할 수 있습니다.
2 Juniper Security Director Cloud에서 서비스 위치 구성

서비스 위치를 만듭니다. 바로 여기서 vSRX 기반 WAN 에지가 서로 다른 네트워크 간에 보안 연결을 생성합니다.
3 Juniper Security Director Cloud에서 디바이스 인증서 생성 Juniper Secure Edge용 디지털 인증서를 생성하여 Secure Edge와 사용자 엔드포인트 간에 보안 통신을 설정할 수 있습니다.
4 Juniper Security Director Cloud에서 IPsec 프로필 생성 IPsec 프로필을 생성하여 Secure Edge 인스턴스를 사용하여 Juniper Mist™ 클라우드 네트워크의 WAN Edge 디바이스 간의 통신을 위한 IPsec 터널을 설정합니다.
5 Juniper Security Director Cloud에서 사이트 생성 주니퍼 SRX 시리즈 서비스 방화벽과 같은 WAN 에지 디바이스를 호스팅하는 사이트를 만듭니다. 디바이스의 트래픽은 검사를 위해 보안 터널을 통해 Secure Edge 인스턴스로 전달됩니다.
6 Juniper Security Director Cloud에서 Secure Edge 정책 구축 사이트에서 시작하거나 사이트로 향하는 트래픽에 대한 보안 규칙 및 작업을 정의하는 정책을 구성합니다
7 Juniper Security Director Cloud에 적용할 IPsec 터널 구성 매개 변수 가져오기 서비스 위치 IP 또는 호스트 이름, IPsec 프로필 이름 및 사전 공유 키와 같은 세부 정보를 기록해 둡니다. Juniper Mist 측에서 IPsec 터널을 설정하려면 이러한 세부 정보가 필요합니다.
8 Juniper Mist Cloud 포털에서 Secure Edge Connectors 생성 Juniper Mist 클라우드 포털에서 Secure Edge 커넥터를 생성합니다. 이 작업은 터널의 Mist 클라우드 측에서 구성을 완료하여 Mist와 Secure Edge 인스턴스 간에 IPsec 터널을 설정합니다.
9 응용 프로그램 정책 수정 신규 애플리케이션 정책을 만들거나 기존 애플리케이션 정책을 변경하여 중앙 집중식 액세스를 위해 허브를 거치지 않고 Juniper Security Director Cloud를 통해 브랜치에서 인터넷으로 트래픽을 전송할 수 있습니다.
10 구성 확인 다음에서 설정된 IPsec 터널을 확인하여 구성이 작동하는지 확인합니다.
  • Mist 포털의 WAN 인사이트
  • Security Director Cloud 대시보드
  • WAN 에지 디바이스 CLI의 터널 트래픽 플로우.

시작하기 전에

주니퍼 Security Director Cloud 액세스 및 활성 구독 확인

Juniper Secure Edge의 테넌트는 Juniper Security Director Cloud 포털에 액세스하고 Secure Edge 서비스를 관리하기 위해 생성하는 조직 계정입니다. 테넌트는 고유한 전자 메일 주소 및 구독 계획과 연결됩니다. 테넌트는 조직의 퍼블릭 클라우드에서 호스팅되는 vSRX 기반 WAN 에지인 여러 서비스 위치를 가질 수 있습니다.

테넌트에는 최종 사용자의 연결 지점인 하나 이상의 서비스 위치가 있을 수 있습니다. 테넌트를 생성하려면 Juniper Security Director Cloud에 계정이 있어야 합니다. 자세한 내용은 Secure Edge 테넌트 만들기를 참조하세요.

Juniper Security Director Cloud 포털에서 Secure Edge 테넌트를 생성한 후 포털에 액세스하고 구독을 확인합니다.

Juniper Security Director Cloud에 액세스하여 활성 구독을 확인하려면 다음 단계를 따르세요.

  1. Juniper Security Director Cloud의 URL을 엽니다. 이메일 주소와 패스워드를 입력하여 로그인하고 Juniper Security Director Cloud 포털 사용을 시작합니다.
    그림 3: Juniper Security Director Cloud Access Juniper Security Director Cloud 액세스
  2. 포털의 오른쪽 위 모서리에서 필요한 테넌트를 선택하여 계속합니다.
  3. Administration > Subscriptions(관리 구독)를 선택하여 Juniper Security Director Cloud 구독 페이지에 액세스합니다.
    그림 4: Secure Edge 구독 Secure Edge Subscriptions
  4. Secure Edge 구독(Secure Edge Subscriptions) 섹션으로 스크롤하여 활성 구독이 있는지 확인합니다.
    메모: 주니퍼 네트웍®스 SRX 시리즈 방화벽을 사용하는 경우에도 SRX 관리 구독 탭을 클릭할 필요가 없습니다. 이 작업에서는 WAN 에지 디바이스 관리에 주니퍼 Security Director Cloud를 사용하지 않습니다.

    자세한 내용은 구독 페이지 정보를 참조하십시오.

    활성 구독이 있다고 가정하고 다음 단계를 계속합니다.

Juniper Security Director Cloud에서 서비스 위치 구성

Juniper Security Director Cloud에 대한 활성 라이선스가 있는지 확인한 후 서비스 위치를 구성합니다. 이는 SRX 시리즈 방화벽용 Secure Edge 커넥터를 설정하는 첫 번째 주요 작업입니다.

Juniper Security Director Cloud의 서비스 위치는 POP(Point of Presence)라고도 하며 클라우드 위치의 Juniper® Secure Edge 인스턴스를 나타냅니다. 서비스 위치는 온-프레미스 사용자와 로밍 사용자 모두에 대한 연결(액세스) 지점입니다.

서비스 위치는 vSRX가 퍼블릭 클라우드 서비스를 사용하여 서로 다른 네트워크 간에 보안 연결을 생성하는 장소입니다. 공용 IP 주소(테넌트 및 서비스 위치별로 고유)는 다음 용도로 사용됩니다.

  • 브랜치 디바이스와 Juniper Security Director Cloud 사이에 IPsec 터널을 설정합니다.

  • 대상이 인터넷에 있을 때 트래픽을 중앙에서 분산합니다.

Juniper Security Director Cloud에서 서비스 위치를 구성하려면 다음을 수행합니다.

  1. Juniper Security Director Cloud 메뉴에서 Secure Edge>Service Management>Service Locations를 선택합니다.

    Service Locations(서비스 위치) 페이지가 나타납니다.

  2. 추가(+) 아이콘을 클릭하여 새로운 서비스 위치를 생성하십시오.
    다음 필드에 대한 세부 정보를 입력합니다.

    • 지역(Region) - Secure Edge 인스턴스를 생성할 지리적 지역을 선택합니다.

    • PoP - 리전에서 Secure Edge의 위치를 선택합니다.

    • 사용자 수: 이 서비스 위치에서 서비스를 제공해야 할 수 있는 가능한 총 사용자 수를 입력합니다.

    표 2 는 서비스 위치의 예를 보여줍니다.

    표 2: 서비스 위치 샘플
    현장 서비스 위치 1 서비스 위치 2
    부위 북아메리카 북아메리카
    오하이오 오 레 곤
    사용자 수 50 50
  3. 확인을 클릭합니다.

    Security Director Cloud는 새 서비스 위치를 생성하여 서비스 위치 페이지에 나열합니다.

    그림 5와 같이 Secure Edge 인스턴스가 완전히 배포될 때까지 서비스 위치의 상태가 In Progress(진행 중)로 표시됩니다.

    그림 5: 서비스 위치 상태 Service Location Status

    새 서비스 위치를 생성하면 테넌트 시스템에 대한 WAN Edge로 두 개의 vSRX 인스턴스 배포가 시작됩니다. 이 구축에서 vSRX 인스턴스는 다른 테넌트와 공유되지 않습니다.

Juniper Security Director Cloud에서 디바이스 인증서 생성

Juniper Security Director Cloud에서 서비스 위치를 구성했으므로 이제 네트워크 트래픽을 보호하기 위한 디바이스 인증서를 생성합니다.

TLS/SSL(전송 레이어 Security/Secure Sockets Layer) 인증서를 사용하여 Secure Edge와 WAN 에지 디바이스 간에 보안 통신을 설정합니다. SSL 프록시를 사용하려면 네트워크의 모든 클라이언트 브라우저가 주니퍼 네트웍스 및 SRX 시리즈 방화벽에서 서명한 인증서를 신뢰해야 합니다.

Juniper Security Director Cloud에서는 다음과 같은 인증서 생성 옵션을 선택할 수 있습니다.

  • 새 인증서 서명 요청(CSR)을 생성하면 자체 인증 기관(CA)에서 CSR을 사용하여 새 인증서를 생성할 수 있습니다.

  • 주니퍼 네트웍스에서 새 인증서를 생성하도록 하려면 옵션을 선택합니다.

메모:

이 항목에서는 TLS/SSL 인증서를 생성하는 방법에 대해 설명합니다. 인증서를 가져오고 사용하는 방법은 회사의 클라이언트 관리 요구 사항에 따라 다르며 이 항목의 범위를 벗어납니다.

Juniper Security Director Cloud에서 디바이스 인증서를 생성하려면 다음을 수행합니다.

  1. Secure Edge>Service Administration(서비스 관리)>Certificate Management(인증서 관리)를 선택합니다.

    인증서 관리 페이지가 나타납니다.

    생성 목록에서 새 인증서 서명 요청(CSR) 또는 주니퍼에서 발급한 인증서를 생성할 수 있습니다.

    그림 6: 인증서 관리 Certificate Management
  2. 관련 옵션을 선택합니다.
    1. 회사에 자체 CA가 있고 CSR을 생성하려는 경우 인증서 서명 요청을 클릭합니다.

      주니퍼 Secure Edge에서 CSR을 생성하면 CSR을 다운로드하고 CA에 제출하여 새 인증서를 생성합니다. 생성되면 Upload(업로드)를 클릭하여 Certificate Management(인증서 관리) 페이지에서 인증서를 업로드합니다.

    2. 회사에 자체 CA가 없는 경우 Juniper에서 발급한 인증서를 클릭한 다음 생성을 클릭하여 인증서를 생성합니다. 주니퍼 네트웍스는 인증서를 생성하여 시스템에 보관합니다.
      이 작업에서 주니퍼 발급 인증서를 선택하고 다음 단계를 계속합니다.
  3. 인증서 세부 정보를 입력합니다. 일반 이름 필드에서 인증서의 FQDN(정규화된 도메인 이름)을 사용합니다.
    그림 7: 주니퍼에서 발급한 인증서 Generate a Juniper-Issued Certificate 생성

    인증서 관리 페이지가 열리고 인증서가 성공적으로 생성되었음을 나타내는 메시지가 표시됩니다.

  4. 생성된 인증서를 다운로드합니다.
    그림 8: 인증서 Download the Certificate 다운로드

    다음 샘플은 다운로드한 인증서를 보여줍니다.

    인증서를 시스템에 다운로드한 후 클라이언트 브라우저에 인증서를 추가합니다.

Juniper Security Director Cloud에서 IPsec 프로필 생성

인증서를 생성하여 Secure Edge와 WAN 에지 디바이스 간에 보안 통신을 설정하면 IPsec 프로필을 만들 준비가 된 것입니다.

IPsec 프로필은 Juniper Mist™ 클라우드 네트워크의 WAN Edge 디바이스가 Secure Edge 인스턴스와 통신을 시작할 때 IPsec 터널이 설정되는 매개 변수를 정의합니다.

Juniper Security Director Cloud에서 IPsec 프로필을 생성하려면 다음을 수행합니다.

  1. Juniper Security Director Cloud 포털에서 Secure Edge > Service Management(보안 에지 서비스 관리) > IPsec Profiles(IPsec 프로파일)를 선택합니다.
  2. 추가(+) 아이콘을 클릭하여 IPsec 프로파일을 생성합니다.
    Create IPsec Profile(IPsec 프로필 생성) 페이지가 나타납니다.
  3. 프로파일 이름의 경우 을 사용합니다default-ipsec. IKE(Internet Key Exchange) 및 IPsec에 대한 모든 기본값을 유지합니다. 현재 Juniper Mist Cloud 포털에서 구성할 수 없습니다.
    그림 9: IPsec 프로필 Create an IPsec Profile 생성
  4. 확인을 클릭합니다.

    이 IPsec 프로필을 사용하여 다음 작업에서 사이트를 만듭니다. 사이트 만들기 페이지의 트래픽 전달 탭에서 터널 유형으로 IPsec을 선택하면 IPsec 프로파일이 연결됩니다.

Juniper Security Director Cloud에서 사이트 생성

이제 IPsec 프로파일을 생성했습니다. 이러한 프로필은 Juniper Mist™ 클라우드 네트워크의 WAN 에지 디바이스와 Secure Edge 인스턴스 간의 IPsec 터널에 대한 매개 변수를 정의합니다.

이제 Juniper Security Director Cloud에서 사이트를 만들어야 합니다. 사이트는 SRX 시리즈 서비스 방화벽과 같은 WAN 에지 디바이스를 호스팅하는 위치를 나타냅니다. WAN 에지 디바이스의 트래픽은 보안 터널을 통해 Secure Edge 인스턴스로 전달된 다음 Secure Edge 클라우드 서비스에 의해 검사되고 적용됩니다.

사이트의 WAN 에지 디바이스에서 일반 라우팅 캡슐화(GRE) 또는 IPsec 터널을 통해 고객 사이트에서 Juniper Secure Edge 클라우드로 인터넷 바인딩 트래픽의 일부 또는 전부를 전달하도록 구성할 수 있습니다.

사이트는 일반적으로 주니퍼 Security Director Cloud 서비스 위치를 사용하는 주니퍼 네트웍스® SRX 시리즈 방화벽입니다.

메모:

브랜치 위치에서 스테이트풀 방화벽을 사용하는 경우 Secure Edge 내의 동일한 POP에 대해 겹치는 브랜치 주소가 지원되지 않습니다(예: SRX 시리즈 방화벽). 이러한 겹치는 IP에 대한 역방향 경로 트래픽은 모든 연결에서 ECMP(Equal-Cost Multipath)를 사용하여 라우팅됩니다. 트래픽은 트래픽이 발생한 인터페이스로의 세션별 라우팅이 아닌 ECMP를 사용하여 라우팅됩니다. 사이트에 대해 보호된 네트워크를 구성할 때 ECMP를 통한 역방향 경로 트래픽을 고려합니다.

Juniper Security Director Cloud에서 사이트를 생성하려면 다음과 같이 하십시오.

  1. Juniper Security Director Cloud 포털에서 Secure Edge >서비스 관리 > 사이트를 선택합니다.

    사이트 페이지가 나타납니다.

  2. 추가(+) 아이콘을 클릭하여 사이트를 생성하십시오.
  3. 다음과 같이 사이트 세부 정보 페이지를 완료합니다.

    1. 고유한 사이트 이름과 설명을 입력합니다.

    2. 사이트가 있는 목록에서 해당 국가를 선택합니다.

    3. (선택 사항) 고객 지점이 있는 우편 번호를 입력합니다.

    4. (선택 사항) 사이트의 위치(주소)를 입력합니다.

    5. 사이트에서 네트워크를 사용할 수 있는 사용자 수를 선택합니다.

    6. 보호된 네트워크 필드에서 추가(+) 아이콘을 클릭하여 터널을 통과하는 트래픽 흐름에 사용할 인터페이스의 개인 IP 주소 범위를 추가합니다.

    그림 10표 3은 사이트의 예를 보여줍니다.
    그림 10: 사이트 만들기 샘플 Site-Creation Sample
    표 3: 사이트 생성 세부 정보
    필드
    기본 서비스 위치 jsec-오레곤
    보조 서비스 위치 JSEC-오하이오
    사용자 수 10
    이름 스포크1 사이트
    나라 독일
    보호된 네트워크 10.99.99.0/24(LAN 네트워크)
  4. 다음을 클릭합니다.
  5. Traffic Forwarding(트래픽 포워딩) 페이지에서 표 4에 제공된 정보에 따라 세부 정보를 입력합니다.
    그림 11: 사이트 만들기: 트래픽 포워딩 세부 정보 Create Site: Traffic-Forwarding Details
    표 4: 사이트 생성: 트래픽 포워딩 세부 정보
    필드
    터널 유형 IPsec (IPsec)
    IP 주소 유형 동적인

    고정 IP 주소 유형의 경우 사이트 IP 주소 필드에 디바이스 IP 주소를 제공해야 합니다.
    IPsec 프로필 기본값-ipsec

    사전 구성된 IPsec 프로파일이 없는 경우 IPsec 프로파일 생성 을 클릭하여 IPsec 프로파일을 생성합니다.
    사전 공유 키

    각 사이트에 대해 고유한 PSK를 정의합니다. 예: Juniper!1
    IKE ID site1@example.com(이메일 주소와 유사하며 각 사이트에 대해 고유한 값이어야 함)
  6. Site Configuration(사이트 구성) 페이지의 Device Type(디바이스 유형)으로 Non-Juniper Device(비-Juniper 디바이스)를 선택합니다.
    그림 12: 사이트-사이트 구성 Create Site-Site Configuration 만들기

    Juniper Mist 클라우드 포털이 관리하는 디바이스의 구성이 Juniper Security Director Cloud를 통해 푸시되지 않으므로 이 옵션을 선택해야 합니다.

  7. 다음을 클릭합니다.
  8. Summary(요약) 페이지에서 구성을 검토합니다.
    그림 13: 사이트 요약 Create Site SummaryNo hyphen in common noun phrases like 만들기
  9. 뒤로를 클릭하여 필드를 편집하거나 마침을 클릭하여 새 사이트를 만듭니다.
  10. 동일한 절차를 사용하여 두 개의 사이트를 더 추가합니다. 다음 단락에서는 각 사이트에 포함할 세부 정보에 대해 설명합니다.
    1. 표 5표 6에 표시된 세부 정보를 사용하여 두 번째 사이트를 만듭니다
      표 5: 두 번째 사이트 만들기: 사이트 세부 정보
      필드
      기본 서비스 위치 jsec-오레곤
      보조 서비스 위치 JSEC-오하이오
      사용자 수 10
      이름 스포크2 사이트
      나라 독일
      보호된 네트워크 10.88.88.0/24(LAN 네트워크)
      표 6: 두 번째 사이트 만들기: 트래픽 포워딩 세부 정보
      필드
      터널 유형 IPsec (IPsec)
      IP 주소 유형 동적인
      IPsec 프로필 기본값-ipsec
      사전 공유 키

      각 사이트에 대해 고유한 PSK를 정의합니다. 예: Juniper!1
      IKE ID site2@example.com(이메일 주소와 유사하며 각 사이트에 대해 고유한 값이어야 함)
    2. Devices Type(디바이스 유형)=Non-Juniper Device(주니퍼 이외 디바이스)를 선택합니다.
    3. 표 7표 8에 표시된 세부 정보를 사용하여 세 번째 사이트를 만듭니다.
      표 7: 세 번째 사이트 만들기: 사이트 세부 정보
      필드
      기본 서비스 위치 jsec-오레곤
      보조 서비스 위치 JSEC-오하이오
      사용자 수 10
      이름 스포크3 사이트
      나라 독일
      보호된 네트워크 10.77.77.0/24(LAN 네트워크)
      표 8: 세 번째 사이트 생성: 트래픽 포워딩 세부 정보
      필드
      터널 유형 IPsec (IPsec)
      IP 주소 유형 동적인
      IPsec 프로필 기본값-ipsec
      사전 공유 키

      각 사이트에 대해 고유한 PSK를 정의합니다. 예: Juniper!1
      IKE ID site3@example.com(이메일 주소와 유사하며 사이트별로 고유한 값이어야 함)
    4. Devices Type=Non-Juniper Device를 선택합니다.
  11. 요약 페이지를 검토합니다. 잘못된 항목을 수정합니다.

    그림 14 에는 사용자가 만든 사이트 목록이 나와 있습니다.

    그림 14: 생성된 사이트 Summary of Created Sites 요약

Juniper Security Director Cloud에서 Secure Edge 정책 구축

Juniper Security Director Cloud에서 사이트를 만들었으므로 이제 하나 이상의 Juniper® Secure Edge 정책을 구축할 차례입니다.

Secure Edge 정책은 네트워크가 트래픽을 라우팅하는 방법을 지정합니다. 기본적으로 새 테넌트를 생성할 때 Security Director Cloud는 사전 정의된 규칙을 사용하여 Secure Edge 정책 규칙 집합을 생성합니다.

메모:

기본 규칙 집합을 변경하지 않더라도 배포 옵션을 사용하여 서비스 위치에 규칙을 로드해야 합니다.

Juniper Security Director Cloud에서 Secure Edge 정책을 구축하려면 다음을 수행합니다.

  1. Juniper Security Director Cloud 포털에서 Secure Edge > Security Policies(보안 정책)를 클릭합니다.

    기본 규칙이 있는 Secure Edge 정책 페이지가 나타납니다. 더 나은 디버깅을 위해 기본 보안 정책 세트를 수정합니다. 기본 규칙 집합은 외부(인터넷)에 대한 ICMP ping을 허용하지 않으므로 클라우드를 통해 아무 것도 ping할 수 없습니다.

    그림 15: Secure Edge 정책 세부 정보 Secure Edge Policy Details
  2. 추가(+) 아이콘을 클릭하여 새로운 규칙을 생성하거나, 기존 규칙을 선택하고 연필 아이콘을 클릭하여 규칙을 편집하십시오.
  3. 새 규칙에 Rule Name=Allow-ICMP를 지정합니다.
  4. 추가(+)를 클릭하여 소스를 추가하십시오.
    Sources(소스)에서 다음 기본값을 사용합니다.

    • 주소=모든

    • 사용자 그룹=모두

  5. 추가(+)를 클릭하여 수신인을 추가합니다.
    Destinations(대상)에서 Addresses(주소)에 기본값 =Any를 사용합니다.
  6. Applications/Services(응용 프로그램/서비스)에서 다음 값을 구성합니다.

    • 응용 프로그램=모두

    • Services=Specific(검색을 통해)

    • 특정 서비스=icmp-all

    확인을 클릭하기 전에 오른쪽 화살표(>)를 사용하여 특정 service=icmp-all을 오른쪽 창으로 이동하여 활성화합니다.

  7. Action=Permit을 구성하고 나머지 필드의 기본값을 유지합니다.

    시스템은 새 규칙을 규칙 목록의 맨 아래에 배치하고 이 규칙을 규칙 집합의 마지막 규칙으로 처리합니다. 규칙이 전역 규칙(모든 트래픽을 거부) 뒤에 배치되면 전역 규칙이 모든 추가 트래픽을 중지하기 때문에 적용되지 않습니다. 따라서 이 예제에서는 규칙을 선택하여 규칙의 위치를 변경합니다. 그런 다음 Move > Move > Move Top(맨 위로 이동 ) 옵션을 사용하여 선택한 규칙을 규칙 집합의 맨 위로 이동합니다. 규칙을 규칙 집합의 맨 위로 이동하면 시스템에서 이 규칙을 먼저 적용합니다.

    메모:

    규칙 집합을 수정할 때마다 배포 단추를 사용하여 작업을 완료해야 합니다. 그렇지 않으면 서비스 위치에서 오래된 규칙 집합을 계속 사용합니다.

  8. Deploy(구축)를 클릭합니다.
  9. Deploy(구축) 페이지에서 Run now(지금 실행) 옵션을 선택하고 OK(확인)를 클릭합니다.

    서비스 위치는 몇 분 후에 업데이트된 규칙 집합을 가져옵니다.

  10. 관리 > 작업을 선택하여 배포된 작업의 상태 및 진행률을 확인합니다.

Secure Edge 구성에 적용할 IPsec 터널 구성 매개 변수 가져오기

이전 작업에서는 Juniper Secure Edge에서 IPsec 터널을 설정하기 위한 몇 가지 작업을 완료했으며 Juniper Security Director Cloud에 Secure Edge 정책을 구축했습니다. Security Director Cloud의 마지막 단계는 각 사이트에 대한 구성 데이터를 수집하는 것입니다. IPsec 터널을 설정하기 위해 Juniper Mist™ 클라우드에서 Secure Edge 커넥터 구성(Juniper Mist Cloud 포털에서 Secure Edge 커넥터 생성)을 완료하려면 이러한 세부 정보가 필요합니다. 이 단계에서는 만든 사이트의 세부 정보를 기록해 둡니다.

메모:

주니퍼 Security Director Cloud와 클라우드 간의 동기화를 위한 자동화된 구성 푸시Juniper Mist 옵션을 사용할 수 없습니다.

Juniper Security Director Cloud에 적용할 IPsec 터널 구성 매개 변수를 가져오는 방법:

  1. Juniper Security Director Cloud 포털에서 Secure Edge >서비스 관리 > 사이트를 선택합니다.
    사이트 페이지가 열리고 배포된 사이트 세부 정보가 표시됩니다.
    그림 16: 터널 구성 세부 정보 Tunnel Configuration Details
  2. 각 스포크 사이트에 대해 Deployed Status(구축 상태)에서 Tunnel Configuration(터널 컨피그레이션) 옵션을 클릭한 다음 MIST Managed Device(MIST 관리 디바이스) 탭에서 정보를 확인합니다.

    Juniper Mist Cloud 포털의 Secure Edge 커넥터 생성에서 사용할 다음 세부 정보를 기록해 둡니다.

    • 사전 공유 키(Pre-Shared Key)

    • 로컬 ID

    • 각 서비스 위치 터널의 IP 주소 및 원격 ID

    다음 샘플은 Juniper Security Director Cloud에서 사이트 생성에서 만든 세 개의 사이트 모두에 대해 추출된 정보를 보여줍니다.

    다음은 site2에 대해 추출된 정보의 샘플입니다.

    다음 샘플은 site3에 대해 추출된 정보입니다.

    Mist 클라우드 포털에서 터널을 구성할 때 이러한 사이트 세부 정보가 필요합니다.

Juniper Mist Cloud 포털에서 Secure Edge Connectors 생성

Juniper Mist™에서 SRX 시리즈 방화벽용 Secure Edge 커넥터를 설정한다는 궁극적인 목표의 절반 정도가 달성되었습니다.

Juniper Mist 클라우드 포털에서 Secure Edge 커넥터를 생성합니다. 이 작업은 터널의 Mist 클라우드 측에서 구성을 완료하여 Mist와 Security Director Cloud에서 관리하는 WAN 에지 디바이스 간에 IPsec 터널을 설정합니다. 커넥터를 생성하기 전에 사이트에 배포된 SRX 시리즈 방화벽이 있는지 확인하십시오.

Secure Edge 커넥터를 만들려면 다음을 수행합니다.

  1. Juniper Mist 클라우드 포털에서 WAN Edges(WAN Edges)를 클릭합니다.

    WAN Edges(WAN Edges) 페이지에는 사이트 세부 정보가 표시됩니다.

    그림 17: WAN 에지 Configure WAN Edge 구성
  2. 배포된 분기 디바이스가 있는 사이트를 선택합니다.
  3. Secure Edge Connectors(Secure Edge 커넥터) 창에서 Add Provider(제공자 추가)를 클릭합니다.
    그림 18: Secure Edge 커넥터 구성 Secure Edge Connector Configuration
  4. 표 9에 제공된 세부 정보에 따라 Secure Edge 커넥터 세부 정보를 입력합니다.
    메모:

    이는 Secure Edge 구성에 적용할 IPsec 터널 구성 매개 변수 가져오기에서 수집한 세부 정보와 동일합니다.
    그림 19: Secure Edge 커넥터 세부 정보 Secure Edge Connector Details
    표 9: Secure Edge 커넥터 세부 정보
    필드
    이름 Site1에서 SDcloud로
    공급자 주니퍼 Secure Edge
    로컬 ID site1@example.com
    사전 공유 키(Pre-Shared Key) Juniper!1(예)
    본래의
    IP 또는 호스트 이름 <IP 주소>(Juniper Security Director Cloud 터널 구성에서)
    프로브 IP -
    리모트 ID <UUID>.jsec-gen.juniper.net(Juniper Security Director Cloud 터널 구성에서)
    WAN 인터페이스

    • WAN0=INET (영문)

    • WAN1=MPLS
    보조
    IP 또는 호스트 이름 (Juniper Security Director Cloud 터널 구성)의 <IP 주소>
    프로브 IP -
    리모트 ID <UUID>.jsec-gen.juniper.net(Juniper Security Director Cloud 터널 구성에서)
    WAN 인터페이스

    • WAN0=INET (영문)

    • WAN1=MPLS
    모드 액티브-스탠바이
    메모:

    프로브 IP 값을 입력할 필요가 없습니다. IPsec 터널은 GRE와 같은 추가 모니터링이 필요하지 않습니다.
    메모:

    시스템은 텍스트, 애플리케이션 및 이메일 설명을 자동으로 생성합니다.
  5. Mist 클라우드 포털에 방금 구성한 Secure Edge 커넥터가 추가되었는지 확인합니다.
    그림 20: Secure Edge 커넥터 추가됨 Secure Edge Connector Added
  6. 트래픽 스티어링 경로를 추가합니다.

    표 10에 제공된 값에 따라 WAN 에지 템플릿 또는 WAN 에지 디바이스에 새 트래픽 스티어링 경로를 추가합니다.

    그림 21: Secure Edge에 대한 트래픽 스티어링 옵션 추가 Add Traffic-Steering Options for Secure Edge
    표 10: 트래픽 스티어링 경로 구성
    필드
    이름 구름
    전략 주문
    경로 유형 및 대상 선택
    Secure Edge 커넥터
    공급자 주니퍼 Secure Edge
    이름 Site1에서 SDcloud로

    그림 22 는 구성된 트래픽 스티어링 경로를 보여줍니다.

    그림 22: 트래픽 스티어링 경로 Traffic-Steering Paths

응용 프로그램 정책 수정

Juniper Mist™ 클라우드 포털에서 Secure Edge 커넥터를 생성한 후 다음 단계는 분기 디바이스에서 애플리케이션 정책을 수정하는 것입니다. 예를 들어, 스포크 디바이스에서 허브 디바이스로의 트래픽을 허용할 수 있습니다. 스포크 디바이스에서 VPN 터널의 다른 스포크 디바이스로 트래픽을 허용할 수도 있습니다. 그런 다음 중앙 브레이크아웃을 위해 스포크에서 허브로 트래픽을 보내는 대신 Juniper Security Director Cloud를 통해 스포크에서 인터넷으로 트래픽을 보낼 수 있습니다.

응용 프로그램 정책을 수정하려면:

  1. Juniper Mist 클라우드 포털에서 조직 > WAN > 애플리케이션 정책을 선택합니다.
    Application Policies(응용 프로그램 정책) 페이지가 열립니다.
    그림 23: 응용 프로그램 정책 Change Application Policies 변경
  2. 수정할 정책을 선택하고 다음 변경 내용을 적용합니다

    • Override Template Settings(템플릿 설정 재정의) 옵션을 선택합니다.

    • 마지막 규칙(Internet-via-Cloud-CBO)에서 트래픽 스티어링클라우드 로 변경합니다.

  3. 변경 사항을 저장합니다.

    Juniper Mist 클라우드가 주니퍼 Security Director Cloud에 새로운 터널을 구축합니다.

구성 확인

애플리케이션 정책을 수정한 후에는 구성이 예상대로 작동하는지 확인해야 합니다.
원하는 구성을 저장하면 클라우드Juniper Mist 중앙 브레이크아웃을 위해 허브로 라우팅하는 대신 스포크에서 주니퍼 Security Director Cloud로 인터넷 바인딩 트래픽을 라우팅하는지 확인할 수 있습니다.

구성을 확인하려면,

  1. (선택 사항) 환경에 따라 CLI에서 Juniper Security Director Cloud의 서비스 위치로 향하는 IPsec 터널의 통신을 볼 수 있습니다.
  2. 클라우드 포털에서 디바이스의 설정된 터널 세부 WAN 인사이트Juniper Mist 확인합니다.
    그림 24: 터널 세부 정보가 Secure Edge Connector with Tunnel Details 있는 Secure Edge 커넥터
    또한 Juniper Security Director Cloud 대시보드 및 서비스 위치에서 설정된 터널을 확인할 수 있습니다.
  3. 분기 디바이스에 연결된 VM 데스크톱을 사용하여 새 트래픽 흐름을 확인합니다. 인터넷에 대한 ping을 사용하여 트래픽 흐름을 확인할 수 있습니다.
    메모:

    인터넷에 대한 ping은 Juniper Security Director Cloud Security Director Cloud에서 보안 에지 정책 구축에 설명된 대로 ICMP를 허용하도록 Secure Edge > 보안 정책 옵션을 선택하여 Juniper 포럴에 적절한 규칙(allow-ICMP)을 구축한 경우에만 작동합니다.
    메모:

    WAN 에지 디바이스와 Juniper Secure Edge 서비스 위치 간의 물리적 거리에 따라 지연이 발생할 수 있습니다.
  4. VM 데스크톱에서 브라우저를 열고 https://whatismyipaddress.com/ 로 이동하여 서비스 위치에서 인터넷으로 Juniper Mist 네트워크 트래픽을 라우팅하는 데 사용되는 소스 IP 주소에 대한 세부 정보를 확인합니다.

    그림 25그림 26 은 기본 및 보조 서비스 위치의 트래픽을 보여줍니다.

    그림 25: 기본 서비스 위치 Traffic from Primary Service Location 의 트래픽
    그림 26: 보조 서비스 위치 Traffic from Secondary Service Location 의 트래픽

    서비스 위치의 두 IP 주소 중 하나는 공용 IP 주소이며 다음 두 가지 용도로 사용됩니다.

    • IPsec 터널을 종료합니다

    패킷 캡처에서 동일한 공용 IP 주소를 볼 수 있으며, Juniper Security Director Cloud를 사용하여 서비스 위치에 터널을 설정한 것을 보여줍니다. 구성 확인의 내용을 참조하십시오.

    Juniper Security Director Cloud의 서비스 위치는 POP라고도 하며 클라우드 위치의 Juniper® Secure Edge 인스턴스를 나타냅니다. 서비스 위치는 온-프레미스 사용자와 로밍 사용자 모두에 대한 연결(액세스) 지점입니다.

Secure Edge 커넥터 자동 프로비저닝

필수 구성 요소

Secure Edge Connector 자동 프로비저닝을 설정하는 방법을 이해하려면 다음 비디오를 시청하세요.

Juniper Mist 포털에서 Juniper Secure Edge Connector 자격 증명 추가

  1. 포털에서 주니퍼 Secure Edge 자격 증명 세부 정보를 제공합니다Juniper Mist
    • 포털Juniper Mist 조직 > 설정을 선택합니다.
    • 아래로 스크롤하여 Secure WAN Edge Integration(보안 WAN 에지 통합 ) 창으로 이동하고 Add Credentials(자격 증명 추가)를 클릭합니다.
    • 공급자 추가 창에서 세부 정보를 입력합니다.
      그림 27: Juniper Secure Edge Add Credentials for Juniper Secure Edge 에 대한 자격 증명 추가
      • Provider(공급자) - JSE를 선택합니다.
      • 이메일 주소 - 사용자 이름(이메일 주소)을 입력합니다(Juniper Secure Edge 포털에서 생성된 사용자의 자격 증명).
      • Password(비밀번호) - 사용자 이름의 비밀번호를 입력합니다.
    • Add(추가)를 클릭하여 계속합니다.

주니퍼 Secure Edge 터널 자동 프로비저닝 구성

  1. 포털Juniper Mist 조직(Organization) > WAN Edge 템플릿(WAN Edge Templates)으로 이동한 후 기존 템플릿을 클릭합니다.
  2. Secure Edge Connector까지 아래로 스크롤합니다.
  3. Add Providers(공급자 추가)를 클릭합니다.
    그림 28: 공급자 Add Provider 추가
  4. Add Provider(공급자 추가) 창에서 자동 프로비저닝을 위해 Juniper Secure Edge (Auto)(주니퍼 Secure Edge(자동))를 선택합니다.
    그림 29: Juniper Secure Edge를 공급자 Select Juniper Secure Edge as Provider 로 선택
    다음 세부 정보를 입력합니다.
    • Name(이름) - JSE 터널의 이름을 입력합니다.
    • Provider(공급자) - Juniper Secure Edge (Auto)(주니퍼 보안 에지(자동))를 선택합니다.
    • Probe IP(프로브 IP) - 프로브 IP(기본 및 보조)를 입력합니다. 프로브 IP 8.8.8.8 또는 기타 잘 알려진 프로브 IP 주소를 입력합니다.
    • WAN Interface(WAN 인터페이스) - 기본 및 보조 터널의 프로비저닝을 위해 기본 및 보조 터널 세부 정보 아래에 WAN 인터페이스를 할당합니다.
  5. Add(추가)를 클릭합니다.
  6. Secure Edge Connector 자동 프로비저닝 설정에서 세부 정보를 입력합니다. 이 옵션은 이전 단계에서 주니퍼 Secure Edge를 공급자로 구성한 경우에만 사용할 수 있습니다.
    그림 30: Secure Edge 커넥터 자동 프로비저닝 설정 Secure Edge Connector Auto Provision Settings

    • Number of Users(사용자 수) - JSE 터널에서 지원하는 최대 사용자 수를 입력합니다

    • 조직 이름 - 조직 이름을 입력합니다. 드롭다운 상자에는 Juniper Secure Edge 계정의 사용자 이름과 연결된 모든 조직이 표시됩니다. 이 사용자 이름은 조직 > 설정에서 Juniper Secure Edge 자격 증명에 입력한 것과 동일한 사용자 이름입니다. 자세한 내용은 1단계를 참조하십시오.

  7. Add(추가)를 클릭하여 계속합니다.

Juniper Secure Edge(자동) 옵션으로 활성화된 템플릿을 사이트에 할당하면 연결된 JSE 사이트(위치 개체)가 자동으로 생성되고 디바이스에서 가장 가까운 네트워크 POP(points of presence)로 연결되는 터널이 표시됩니다.

Secure Edge Connector 구성을 적용하려면 Secure Edge Connector Mist Juniper Secure Edge 트래픽 스티어링을 사용하여 애플리케이션 정책을 생성해야 합니다.

주니퍼 Secure Edge 터널 확인

WAN Edge 이벤트 아래에 WAN Edge 터널 자동 프로비저닝 성공 이벤트가 나타나면 Juniper Mist 포털에서 디바이스의 WAN 인사이트에서 설정된 터널 세부 정보를 확인할 수 있습니다.

그림 31: WAN 에지 이벤트 WAN Edge Events

클라우드 포털의 WAN 에지 > WAN Edge 인사이트 페이지에서 설정된 터널 상태 세부 정보를 가져옵니다Juniper Mist.

그림 32: 설정된 Secure Edge 터널 Established Secure Edge Tunnels

Juniper Security Director Cloud 대시보드 및 서비스 위치에서 설정된 터널을 확인할 수 있습니다.

참조